随着智能移动终端系统的发展、高速移动网络的普及、移动应用程序的爆发式增长,移动智能终端在人们生活中扮演着越来越重要的作用。与此同时,利用智能移动终端进行隐私窃取、诈骗以及恶意攻击等犯罪活动也日益猖獗。因此,针对智能移动终端进行数据取证对于打击不法行为有着重要的意义,然而目前的智能移动终端取证技术大多都是被动取证,将关注点放在了事后取证上,通过收集智能移动终端上残留的信息来推断犯罪事实,忽略了移动智能终端通信数据的实时取证,获得的证据信息不够及时和全面。本文将研究重点放在智能移动终端应用程序的网络通信数据取证上,目前大部分应用程序采用的是自定义的无公开规范的私有协议,截获的网络通信数据不能直接作为证据呈现。基于此情况,本文设计并实现了一个基于协议逆向技术的智能移动终端通信数据主动取证系统,本文的具体工作如下：1.研究目前智能移动终端取证的发展现状,分析当前取证技术中存在的问题,在此基础上提出了一个适用于移动智能终端应用程序通信数据主动取证的方案。2.提出了基于协议逆向技术的取证信息提取方案。该方案首先利用动态污点分析技术获取目标应用程序对网络通信数据进行处理的指令执行轨迹,然后利用轨迹信息分析污点传播情况,提取出通信数据的具体处理信息,最后根据制定的消息格式解析策略解析通信数据的消息格式,将得到的消息格式信息进行存储,作为证据信息。3.提出了推断应用程序通信协议的方案。该方案在解析得到的消息格式的基础上进行消息聚类,分析得到每一类消息的通用格式,在此基础上根据制定的状态机推断策略推断应用程序协议的状态机,最后利用字符串相似度算法比对推断出的状态机与已知协议的状态机,得到应用程序使用的通信协议。4.设计并实现了基于Android平台的智能移动终端应用程序通信数据主动取证系统。该系统包括取证代理模块、证据分析模块和证据存储模块。其中取证代理模块完成应用程序信息处理指令轨迹的获取；证据分析模块完成应用程序消息格式的解析、状态机的推断以及状态机比对；证据存储模块将获得的消息格式信息、状态机信息以及协议信息进行存储,形成周期性的证据链。最后利用该系统对Android平台上的ES文件浏览器和邮件应用程序进行了通信数据取证。